Tietoturva

CERT-FI: suomalaispalvelimia kaapattiin

Julkaistu: , Päivitetty:

Suomalaisten www-palveluntarjoajien palvelimia kaapattiin ja sivustoja töhrittiin viime viikonlopulla, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.


CERT-FI huomauttaa, että usein www-palvelimien kaappaukset tehdään PHP-ohjelmointikielessä tai jossain PHP-sovelluksessa olevaa haavoittuvuutta hyväksikäyttämällä.

PHP-ohjelmointikielestä löydetään uusia haavoittuvuuksia melko usein. Muun muassa Month of PHP Bugs -kampanjassa löydettiin 44 PHP-ohjelmointikieleen suoraan tai välillisesti liittyvää haavoittuvuutta. Haavoittuvuuksia on löytynyt myös tämän haavoittuvuuskuukausikampanjan jälkeen.

PHP-projekti julkaisee uusia pääversioita PHP4 ja PHP5 -tuotteista verrattain harvoin, jolloin korjaukset tulevat saataville vasta haavoittuvuuksien julkistamisen jälkeen.

Lisäksi monet käyttöjärjestelmäjakelijat ja eräät muut tahot tarjoavat PHP:ta valmiiksi paketoituina versioina. Nämä paketit eivät kuitenkaan aina ole uusinta pääversiota, jolloin uusimpien korjausten saaminen viivästyy entisestään. Tosin esimerkiksi Linux-jakelijat saattavat tehdä itse korjauksia tarjoamiinsa paketteihin, jolloin osa haavoittuvuuksista tulee paikatuksi sitä kautta.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tuorein ja vähiten julkaistuja haavoittuvuuksia sisältävä versio PHP:sta on PHP-projektin CVS-järjestelmästä löytyvä kehitysversio. Tämä versio saattaa kuitenkin olla epävakaa ja se on itse käännettävä lähdekoodeista, jolloin päivittäminen on tavallista työläämpää.

PHP:n tietoturvallinen käyttäminen www-palvelimilla ja kolmansien osapuolten PHP-sovellusten ajaminen julkisessa www-palvelussa on haastavaa ja vaatii palveluntarjoajalta syventymistä asiaan. PHP-sovellukset on suositeltavaa eristää palvelimien käyttöjärjestelmästä ja toisistaan ajamalla niitä omissa virtuaalikoneissaan tai rajoittaa www-palveluprosessin oikeuksia käyttöjärjestelmässä.

Muun muassa Hardened PHP -projekti tarjoaa työkaluja PHP:n ja PHP-sovellusten tietoturvallisuuden parantamiseen.

Lisätietoa löytyy sivuilta:
http://www.php.net/
http://www.hardened-php.net/
http://www.php-security.org/

Kommentit

    Näytä lisää